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Postmaschine und Verfahren zu deren Initialisierung 



Beschreibung 

Die Erfindung betrifft eine Postmaschine gemaS des Oberbegriffs des 
Anspruchs 1 und ein Verfahren zu deren Initialisierung. gemaS des 
Oberbegriffs des Anspruchs 15. Unter einer Postmaschine sollen zum 
Beispiel Frankiermaschinen und portoberechnende Waagen, d.h. 
Postwaagen mit intergrierten Portorechner und ahnliche Postgerate 
verstanden werden, fur die eine Postzulassung erforderlich ist. 

Frankiermaschinen sind seit den zwanziger Jahren bekannt und werden 
noch heute standig vervollkommnet. Ihr Prinzip beruht darauf, daS geld- 
werte Daten in der Frankiermaschine verwaltet werden. Bei jeder 
Frankierung wird der vorhandene Restbetrag im Descending Register 
durch den auf das Versandstuck gedruckten Frankierbetrag reduziert. 
Wenn der Restbetrag aufgebraucht ist, kann die Frankiermaschine mit 
einem vorgegebenen Guthabenbetrag nachgeladen werden, wobei der 
Restbetrag um den Guthabenbetrag erhoht wird. Die Frankiermaschinen 
sind zum Schutz gegenuber einer Manipulation z.B. des Restbetrages im 
Descending Register mit einem Sicherheitsgehause ausgestattet. 
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5 Neuere Frankiermaschinen der Anmelderin setzen digital arbeitende 
Druckmodule ein, wie beispielsweise weltweit erstmals Tintenstrahldrucker 
in den Frankiermaschinen vom Typ JetMail® Oder Thermotransferdrucker 
in den Frankiermaschinen vom Typ T1000. Damit ist es prinzipiell moglich, 
auf einen gefullten Brief im Bereich des Frankierstempels andere 
10 Informationen bzw. beliebig anders zu drucken. 



In EP 660 269 wird noch von einer Frankiermaschine ausgegangen, die 
eine verschlieBbare und versiegelte Klappe hat, die den Zugriff auf die 
dahinter liegende Hardware (EPROM-Sockel) nur einem begrenztem 

15 speziell vertrauenswurdigen Personenkreis erlaubt. Hier konnte davon 
ausgegangen werden, daB durch diese Personen keine Manipulation der 
Frankiermaschine erfolgt. Diese verschlieBbare und versiegelte Klappe 
wird auch als Postklappe bezeichnet, die nur vom Postbeamten geoffnet 
werden darf, beispielsweise um ein Guthaben im Postamt nachzuladen. 

20 Eine andere Losung der Anmelderin geht von einer Klappe aus, die 
entsprechend fur das sogenannte „Master-Prom"-Verfahren ausgebildet 
/ ist. Bei diesem wechselt ein Service-Techniker das Klischee- bzw. 
Portotabellen-ROM gegen ein spezielles ROM - dem MASTER-PROM - 
aus, das ihm nach dem Start der JetMail zum Zugriff auf u.a. hoch 

25 sensible Bereiche der Maschine autorisiert. So konnen beispielsweise 
Geldbetrage manipuliert werden. 

Bei Frankiermaschinen die mit einem digitalen Drucker ausgestattet sind, 
kann leicht ein Werbeklischee gewechselt werden. Allerdings wird die 

30 Anzahl an Werbeklischees durch die Speicherkapazitat des EPROMs 
beschrankt. Der Service-Techniker sollte deshalb einen Zugriff wenigsten 
auf den Klischee-EPROM-Sockel haben, um den Klischee-EPROM 
selbstandig wechseln zu konnen. Es wurde also eine Losung fur eine 
Frankiermaschine gesucht, die bei einer teilweise geoffneten Postklappe 

35 , dennoch die Sicherheit garantieren kann. Im EP 762 338 A2 wurde 
deshalb zur Uberprufung der Integritat der Daten und des Programm- 
codes von Klischee-EPROMs, die bei einer Frankiermaschine mit 
geoffneter Postklappe in den extern zuganglichen Sockel eingesetzt 
werden das Bilden einer MAC-Prufsumme uber den Dateninhalt eines 

40 EPROMs vorgeschlagen. Das Auswechseln der Bausteine geht relativ 
einfach, wenn sich die ROM-Bausteine z.B. in DIL-Stecksockeln befinden. 
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5 Werden zukunftig im Zuge der Miniaturisierung von Bauelementen 
andere Gehauseformen gewahlt, so wird eine Verbindung uber 
Stecksockel nicht mehr moglich sein, d.h. der Austausch von ROM- 
Bausteinen wird fur den Service-techniker unmoglich werden. 

Die Aufgabe der Erfindung ist es, eine Postmaschine zu schaffen, die 
standig einen ROM-Baustein mit einem Initialisierungsprogramm aufweist, 
wobei in die Postmaschine uber eine von aussen zugangliche Schnittstelle 
Initialisierungsdaten abgesichert eingebracht werden, so dass ein unbe- 
rechtigtes Initialisieren verhindert wird. Ein sicheres Verfahren soil ohne 
den Austausch des ROM-Bausteins auskommen und eine autorisierte 
Initialisierung ermoglichen. 

Die Aufgabe wird mit den Merkmalen der Anordnung nach dem Anspruch 
1 und mit den Merkmalen des Verfahrens nach dem Anspruch 15 gelost. 

Unter Initialisierung wird eine erstmalig vor Inbetriebnahme der Maschine 
am Eintrittspunkt (Single Point of Entry) des Bestimmungslandes statt- 
findende Routine zur Eingabe von Initialisierungsdaten verstanden. Ein 
Autorisierungsmittel wird dazu in eine operative Verbindung mit der Post- 
maschine gebracht und ist als eine leicht auswechselbare elektronische 
Hardware-Einheit (Dongle oder Chipkarte) ausgebildet. Letztere wird an 
die Postmaschine entweder direkt oder indirekt uber eine Datenquelle 
beispielsweise einen Personalcomputer PC angeschlossen. Die Postma- 
schine, zum Beispiel eine Frankiermaschine, verfugt uber einen nicht 
entfernbaren Programmspeicher mit einem Initialisierungsprogramm und 
uber ein postalisches Sicherheitsmodul (Postage Secure Device oder 
Secure Accounting Device), das als Uberprufungsmittel fur die Autorisa- 
tion der Eingabe von Initialisierungsdaten ausgebildet ist. Letzteres erfolgt 
bei Autorisiertheit direkt per Tastatur der Frankiermaschine oder indirekt 
uber den PC bzw. Laptop oder von einer Datenzentrale in den Meter bzw. 
Sicherheitsmodul. Das Autorisierungsmittel wird uber Schnittstellen des 
PC's oder der Maschine in operative Verbindung mit dem Meter gebracht. 

Vorteilhafte Weiterbildungen der Erfindung sind in den Unteranspruchen 
gekennzeichnet bzw. werden nachstehend zusammen mit der 
Beschreibung der bevorzugten Ausfuhrung der Erfindung anhand der 
Figuren naher dargestellt. Es zeigen: 
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5 Figur 1 , Prinzipschaltbild mit einer Datenquelle und mit einem Dongle je- 
we.ls an den Schnittstellen der Base einer Frankiermaschine, 

Figur 2, Prinzipschaltbild mit einem Dongle an einer Datenquelle, die an 
einer Schnittstelle der Frankiermaschine angeschlossen ist, 

Figur 3, Perspektivische Ansicht einer Frankiermaschine vom Typ 
JetMail mit Dongle von hinten und Ansicht einer Datenquelle 
vom Typ Laptop von vorn, 

Figur 4, Prinzipschaltbild mit einer Datenquelle und mit einem Dongle je- 
we.ls an den Schnittstellen der Base einer Frankiermaschine und 
mit einem ,n die Base integrierten Chipkartenleser, wobei der 
Dongle em Autorisierungsmittel bildet, 

Figur 5, Perspektivische Ansicht einer Frankiermaschine vom Typ 
JetMa.1 von hinten und mit einem in die Base integrierten 
Chipkartenleser, wobei eine Chipkarte das Autorisierungsmittel 
bildet, 

Figur 6, Prinzipschaltbild mit einer Datenquelle an der Schnittstellen der 
Base einer Frankiermaschine und mit einem in die Base 
integrierten Chipkartenleser, wobei die Chipkarte das 
Autorisierungsmittel bildet, 

Figur 7, Perspektivische Ansicht einer Frankiermaschine vom Typ 
JetMa.1 von hinten und mit einem in das Meter integrierten 
Ch.pkartenleser, wobei die Chipkarte das Autorisierungsmittel 
bildet, 

Figur 8, Prinzipschaltbild mit einem Dongle an einer Datenquelle, die an 
einer Schnittstelle der Frankiermaschine angeschlossen ist und 
m,t einem in das Meter integrierten Chipkartenleser, wobei der 
Dongle das Autorisierungsmittel bildet, 

Figur 9, Prinzipschaltbild mit einer Datenquelle an der Schnittstellen der 
Base einer Frankiermaschine und mit einem in das Meter 
-ntegrierten Chipkartenleser, wobei die Chipkarte das 
Autorisierungsmittel bildet. 
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In der Figur 1 ist ein Prinzipschaltbild mit einer Datenquelle und mit einem 
Dongle jeweils an den Schnittstellen der Base einer Frankiermaschine ge- 
zeigt. Die Frankiermaschine besteht aus einem Meter 1 und einer Base 2 
und ist in an sich bekannter Weise dazu ausgestattet, ein Poststuck 3 zu 
frankieren. Eine perspektivische Ansicht der Frankiermaschine vom Typ 
JetMail wird in Fig. 3 von hinten dargestellt. Zu deren Initialisierung wird 
eine Datenquelle 4 an eine erste serielle Schnittstelle 92a der Frankier- 
maschine angeschlossen. Die Datenquelle 4 ist zum Beispiel ein Service- 
PC Oder vorzugsweise ein Laptop, Ein Dongle 5 wird an eine zweite 
serielle Schnittstelle 98b der Frankiermaschine angeschlossen. Der Meter 
1 der Frankiermaschine weist mindestens einen Programmspeicher 10 mit 
einem Initialisierungsprogramm und ein Sicherheitsmodul 11 auf, zur 
Uberprufung der Autorisiertheit vor und wahrend der Initialisierung. 

Die Figur 2 zeigt ein Prinzipschaltbild mit einem Dongle 5 an einer 
Datenquelle 4, die an die erste serielle Schnittstelle 92a der Frankier- 
maschine angeschlossen ist. Die zweite serielle Schnittstelle 98b der 
Frankiermaschine bleibt frei fur andere Zwecke. Die Frankiermaschine 
besteht aus einem Meter 1 und einer Base 2, urn ein Poststuck 3 zu 
frankieren. Der Meter 1 ist mindestens mit einem Programmspeicher 10 
und mit einem Sicherheitsmodul 11 ausgerustet. 

In der Figur 3 ist eine perspektivische Ansicht einer Frankiermaschine 
vom Typ JetMail von hinten dargestellt. Die Base 2 der Frankiermaschi- 
ne hat eine erste serielle Schnittstelle 92a, an welcher die Datenquelle 4 
angeschlossen werden kann. Die Fig. 3 zeigt auch eine Ansicht einer 
Datenquelle vom Typ Laptop von vorn, welche uber ein Kabel 41 mit der 
ersten seriellen Schnittstelle 92a der Frankiermaschine verbindbar ist. 
Auf die zweite serielle Schnittstelle 98b ist ein Dongle 5 gesteckt. Beide 
serielle Schnittstellen 92, 98b und weitere Systemschnittstellen 98a und 
99a befinden sich auf der Ruckseite der Frankiermaschine und stehen in 
operativer Verbindung mit dem Meter 1. Die Betatigungselemente 88 einer 
Tastatur und die Anzeigeelemente 89 im Schirmbild einer Anzeigeeinheit 
des Meters 1 bilden ein Userinterface, welches zur Eingabe von INIT- 
Werten ausgebildet ist. Ein bevorzugtes Eingabemittel fur die INIT-Werte 
ist jedoch die Datenquelle 4. Die Base 2 ist mit einem Schalter 71 und mit 
einem Schlusselschalter 73 ausgestattet, die hinter einer Fuhrungsplatte 
20 angeordnet und von der Gehauseoberkante 22 zuganglich ist. Nach 
dem Einschalten der Frankiermaschine mittels dem Schalter 71 und 73 
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5 w.rd ein zugefuhrter auf der Kante stehender Brief 3, der mit seiner zu be- 
druckenden Oberflache an der Fuhrungsp.atte anliegt, wird dann ent- 
sprechend der Eingabedaten mit einem Frankierstempel 31 bedruckt Die 
Bnefzufuhroffnung wird durch eine Klarsichtplatte 21 und die FOhrungs- 
P latte 20 seitlich begrenzt. An die Schnittstellen 98a und 99a sind weitere 

o Stat.onen bzw. Gerate anschlie&bar, um mit der Frankiermaschine in 
Kommumkationsverbindung zu treten. Nach Eingabe von Initialisierungs- 
daten, einschlieSlich eines Null-Guthabenwerts, erfolgt ein Test Beim 
Frank.eren mit dem Portowert Null erhoht sich bei der Abrechnung nur der 
Wert .m Stuckzahler-Register. Der Portowert Null wird dabei auf ein 

> Versandstuck ( Brief 3 ) gedruckt. 

In der Figur 4 wird ein Prinzipschaltbild mit einer Datenquelle 4 an der 
Schmttstelle 92a und mit einem Dongle 5 an der Schnittstelle 98b der 
Base 2 e.ner Frankiermaschine dargestellt. Bei den AusfQhrungsvarianten 
gemaS Figuren 1, 3 und 4 ist vorgesehen, dass die Datenquelle 4 Daten 
zur ln.t.alisierung der Frankiermaschine 1, 2 enthalt und an die erste 
Schnittstelle 92a der Base 2 der Frankiermaschine ansteckbar ausgebil- 
det .st. Das Autorisierungsmittel 5 ist an eine zweite Schnittstelle 98b der 
Base 2 der Frankiermaschine steckbar ausgebildet. Vorzugsweise dient 
e.n Dongle 5 als Autorisierungsmittel. In der Base 2 sind optional ein 
Modem 8 und eine weitere Schnittstelle 98c zum Anschluss des inte- 
gnerten Modems 8 an ein Telefonnetz enthalten. Ober das Modem 8 kann 
be.sp.elsweise ein Guthabenbetrag von einer entfernten Datenzentrale in 
das postalische Sicherheitsmodul 11 der Frankiermaschine geladen wer- 
den^Mrt dem postalischen Sicherheitsmodul 1 1 kann ausserdem uberpruft 
werden, ob das im Programmspeicher 10 gespeicherte Initialisierungs- 
programm autorisiert aufgerufen wird und ordnungsgemass ablauft In 
der Variante nach Figur 4 ist das Meter 1 mit einem in die Base 2 
■ntegnerten Chipkartenleser 70 uber eine weitere innere serielle Schnitt- 
stelle 97a verbunden. Nach Absch.uss des Initialisierungsverfahren kann 
eine n.cht gezeigte Chipkarte in den Slot 72 eingesteckt werden, um 
wertere Daten zu laden. Solche weiteren Daten betreffen zum Beispiel die 
B,lddaten fur einen vorbestimmten Orts- und Datums-Stempel. Ein Ver- 
fahren und Anordnung zur Druckstempeleingabe in eine Frankiermaschi- 
ne wurde bereits in der nicht vorveroffentlichten deutschen Patentanmel- 
dung mit der Nummer 199 13 066.3 mitgeteilt. Mittels einer Chipkarte 
konnen befordererspezifische Druckbilddaten geladen oder fur eine 
Frankiermaschinen-Landervariante ausgewahlt werden. 
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Die Figur 5 zeigt eine perspektivische Ansicht einer Frankiermaschine 

® 

vom Typ JetMail von hinten, die einen in die Base integrierten Chip- 
kartenleser mit einem Slot 72 hat. Die Chipkarten-Schreib/Leseeinheit 70 
ist hinter der Fuhrungsplatte 20 angeordnet und uber den Slot 72 von der 

10 Gehauseoberkante 22 zuganglich. Nach dem Einschalten der Frankier- 
maschine mittels dem Schalter 71 wird eine Chipkarte 49 von oben nach 
unten in den Einsteckschlitz 72 eingesteckt. Auf ein Dongle 5 wird in der 
Variante nach Figur 5 verzichtet, weil eine einsteckbare Chipkarte 49 hier 
als Autorisierungsmittel dient. Das Autorisierungsmittel Chipkarte 49 ist 

15 damit, wie auch bei den Ausfuhrungsvarianten nach Figuren 1, 3, 4, 7 und 
9 an die Frankiermaschine direkt angeschlossen. Im Unterschied zur 
Ausfuhrungsvariante nach der Figur 4 wird kein Laptop 4 als Datenquelle 
angeschlossen, da die Eingabe der INIT-Werte auch auf andere Weise 
realisiert werden kann, beispielsweise per Chipkarte Oder via Schnittstelle 

20 98c und Modem. 

In einer weiteren, in der Figur 6 dargestellten, Ausfuhrungsvariante, ist im 
Unterschied zu der in der Figur 5 dargestellten Variante, eine Datenquelle 

4 vorgesehen, die ein Initialisierungsdaten fur eine Frankiermaschine. 

v 

25 enthalt. Die Datenquelle 4 ist an eine erste Schnittstelle 92a der Base 2 
der Frankiermaschine ansteckbar ausgebildet. Das Autorisierungsmittel 5 
ist - gleich der in der Figur 5 dargestellten Variante - wieder eine Chipkarte 
49, fur welche ein Chipkartenleser 70 in die Base 2 integriert angeordnet 
ist. Der Chipkartenleser 70 ist uber eine weitere innere Schnittstelle 97a 

30 mit dem Meter 1 operativ verbunden. Auch die innere Schnittstelle 97a ist 
eine serielle Schnittstelle. Die Base 2 enthalt optional ein Modem 8 und 
eine Schnittstelle 98c zum Anschluss des Modems an ein Telefonnetz. 
Der Meter ist, wie anhand der Figur 4 bereits erlautert wurde, aufgebaut. 

35 In der Figur 7 ist eine perspektivische Ansicht einer Frankiermaschine 
vom Typ JetMail® von hinten dargestellt, wobei das Meter 1 mit einem 
integrierten Chipkartenleser 70 ausgestattet ist und wobei die Chipkarte 
das Autorisierungsmittel ist. Der in das Meter 1 der Frankiermaschine 
integrierte Chipkartenleser 70 ist - in nicht gezeigter Weise - uber eine 

40 parallele Schnittstelle an einen parallelen Bus des Meter 1 angekoppelt. 
Die weitere Ausgestaltung entspricht derjenigen, die anhand der Figur 5 
bereits erlautert wurde. 
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> Die F,gur 8 zeigt ein Prinzipschaltbild mit einem Dongle 5 an einer 
Datenquelle 4, die an einer Schnittstelle 92a der Frankiermaschine 
angeschlossen ist. und mit einem in das Meter 1 integrierten 
Chipkartenleser 70. wobei aber der Dongle 5 das Autorisierungsmittel ist 
Das Autorisierungsmittel (Dongle) 5 ist uber eine Parallelschnittstelle an 

d, e Datenquelle 4 angeschlossen ist. Die Datenquelle 4 ist zum Beispiel 

e, n Personalcomputer Oder vorzugsweise ein Laptop. Die Datenquelle 4 
ist uber eine serielle Schnittstelle 92a der Frankiermaschine an das Meter 
1 angekoppelt. Das Autorisierungsmittel (Dongle) 5 ist damit, wie auch bei 

Z, « Sf ° h ™ ngSVan ' ante " aCh R8Ur 2 - an die Frankiermaschine auf 
indirektem Wege angeschlossen. Es ist vorgesehen. dass das Meter 1 
e,nen Prograrnmspeicher 10 fQ, das Initialisierungsprogramm und ein 
postalisches Sicherheitsmodul 11 als Qberprufungsmittel fur die Autorisa- 
tion e,ner Eingabe von Initialisierungsdaten, mindestens jedoch fur die 
Autonsation einer Dateneingabe von vorbestimmten INIT-Werten auf- 

In das Meter 1 ist optional ein Chipkartenleser 70 integnert worden. Der 
Chipkartenleser 70 ist - in nicht gezeigter Weise - Gber eine Schnittstelte 
des Meter 1 operativ mit einem internen Bus verbunden. Eine Chipkarte 
kann , beispielsweise seitlich in einen Slot 72 eingesteckt werden. Die Base 
2 enthaK optional ein Modem 8 und eine Schnittstelle 98c zum Anschluss 
des Modems an ein Telefonnetz. 

In der Figur 9 wird das Prinzipschaltbild fur eine Ausfuhrungsvariante mit 
e,ner an die Schnittstelle 92a der Base 2 einer Frankiermaschine ange- 
schlossenen Datenquelle 4 und mit einem in das Meter integrierten Chip- 
kartenleser 70 dargestellt, wobei die Chipkarte 49 das Autorisierungsmittel 
b.ldet. Die ubrige Ausgestaltung entspricht derjenigen, die in anhand von 
Figur 8 bereits eriautert wurde. 

In den Figuren 5. 6, 7 oder 9 sind Chipkarten 49 zum Einstecken in die 
Base 2 oder in das Meter 1 der Frankiermaschine vorgesehen. Die 
Chipkarten 49 enthalten zum Beispiel: 

- einen Karten-Hersteller-Code MANCODE (15 Byte), 

- einen Frankiermaschinen-Hersteller-Code FPCODE (1 Byte), 
einen Code fur den physikalischen Kartentyp PHYSTYP (1 Byte), 
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5 - einen Personalisationscode MINIPERS (6 Byte), welcher die Code der 
Hersteller der Frankiermaschine, Hersteller der Chipkarte, Hersteller 
des Chips der Chipkarte verknupft enthalt, 

- ein Startdatum VALSTARTDATE (4 Byte) fur die Gultigkeit der Karte 

- ein Endedatum VALENDDATE (4 Byte) fur die Gultigkeit der Karte, 

10 - ein Zugriffscode LOGICTYPE (1 Byte), welcher zeigt, dass eine 
Berechtigungskarte vorzugsweise fur den Verkaufer vorliegt und 

- eine einzigartige Berechtigungs-Nummer (4 Byte) sowie 

- gegebenenfalls einen Lander-Code COUNTRYCODE (4 Byte). 

Es ist vorgesehen, dass eine Uberprufung der Autorisiertheit vor und 
wahrend der Initialisierung anhand einer einzigartigen Berechtigungs- 
nummer vorgenommen wird, welche via Chipkarte 49 eingegeben wird. 
Alternativ kann die einzigartige Berechtigungs-Nummer via Dongle 5 ein- 
gegeben werden. Die Autorisiertheit ist gegeben, wenn die eingegebene 
einzigartigen Berechtigungsnummer mit einer im postalischen Sicherheits- 
modul 11 gespeicherten Nummer ein vorbestimmtes Verhaltnis hat. 

In einer anderen Ausfuhrungsvariante - die nicht naher erlautert werden 
soil — ist vorgesehen, dass die Postmaschine eine Waage ist, dass das 
25 Autorisierungsmittel 5 eine Chipkarte 49 ist und dass ein Chipkartenleser 
70 in die Waage integriert angeordnet ist und uber eine Schnittstelle der 
Waage angekoppelt ist. Die Waage enthalt ein Sicherheitsmodul zur 
Uberprufung der Autorisierung von Initialisierungsdaten. 

30 In einer weiteren Ausfuhrungsvariante - die in den Figuren nicht separat 
dargestellt wurde - ist vorgesehen, dass eine Chipkarten 49 eine Daten- 
zentrale autorisiert, einen Datenstrom zur Initialisierung der Postmaschine 
zu liefern. Eine von der Postmaschine entfernt angeordnete Datenquelle 4 
(Laptop oder Personalcomputer PC oder eine Workstation) mit 

35 intergierten Modem wird dann nicht uber die PC-Schnittstelle 92a sondern 
uber eine Modem-Schnittstelle 98c angeschlossen. Die entfernte 
Datenquelle 4 ist eine spezielle Datenzentrale, welche via Modem die 
INIT-Daten bzw. -Werte liefert. Wie in den Figuren 5, 6, 7 oder 9 sind 



15 



20 



3183-DE 



m 



- 10 



* 



Chipkarten 49 als Autorisierungsmittel 5 vorgesehen und die Base 2 oder 
das Meter 1 der Frankiermaschine ist zum Einstecken der Chipkarte 49 
mit einem Cipkartenleser, mit einer Modem-Schnittstelle 98c und mit 
einem - nicht gezeigten - Modem ausgeriistet. Werden die Chipkarten 
allein zur Initialisierung vorgesehen, dann heiBt eine Chipkarte 49 
Initialisierungskarte (INIT-Card). Alle oder wenigstens ein Teil der INIT- 
Daten bzw. -Werte werden dann von der entfernten Datenzentrale uber 
die Modem-Schnittstelle 98c zur Frankiermaschine geliefert. Die Chipkarte 
49 dient zur Autorisierung wenigstens desjenigen Teils der INIT-Daten 
bzw. -Werte, welche von der entfernten Datenzentrale uber eine Modem- 
Sehnittstelle 98c in die Frankiermaschine geladen werden. In den Figuren 
5 und 7 ist die Modem-Schnittstelle 98c auf der Ruckwand der 
Frankiermaschine JetMail dargestellt. Dabei ist vorgesehen, dass das 
zugehorige Initialisierungsprogramm mindestens teilweise in einem 
Programmspeicher (EPROM) gespeichert wird, der Bestandteil des 
Sicherheitmoduls 1 1 ist. Ein anderer Teil des Initialisierungsprogramms, 
insbesondere fur Initialisierungsdaten, welche extern vom Sicherheits- 
modul 1 1 nichtfluchtig gespeichert werden, ist Bestandteil eines separaten 
Programmspeichers (EPROM), welcher jedoch mit dem Sicherheitmodul 
1 1 in Verbindung steht. Das Sicherheitsmodul verhindert das Laden bzw. 
Speichern von Daten, welche durch das Autorisierungsmittel 5 bzw. 49 
nicht autorisiert sind. Es ist vorgesehen, dass vor und wahrend der 
Initialisierung der Post-maschine 1, 2 mit vorbestimmten INIT-Daten die 
Abfrage des Autorisierungsmittels 5 bzw. 49 vorgenommen wird. 

Die Chipkarten 49 werden nachfolgend INIT-Card oder Dealer Card 
genannt und gestatten folgende ausschliessliche Zugriffsrechte fur: 

- ein Initialisieren der Frankiermaschine im Initialisierungsmodus, 

- ein Testen der Frankiermaschine im Service Mode, 

- ein Frankieren mit dem Portowert Null im Frankiermodus und 

- ein Generieren einer Mastercard fur den Kaufer bzw. Endnutzer der 
Frankiermaschine, wobei die Mastercard Zugriffsrechte zu alien 
wichtigen Funktionen der Frankiermaschine bietet, welche nicht 
ausschliessliche Zugriffsrechte der Dealer Card sind. 
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Die Dealer Card gestattet zum Beispiel zweimal infolge eine Mastercard 
zu generieren. Die Frankiermaschine erkennt automatisch, wenn eine 
noch "jungfrauliche" Chipkarte gesteckt wird, dass eine Mastercard 
generiert werden soil und fuhrt diese Generierung selbsttatig durch. Die 
Dateneingabe von vorbestimmten INIT-Werten beim Intialisieren und ein 
anschliessendes Testen sind bei Frankiermaschinen ublich. 

Folgende Informationen umfassen die Init-Daten, die am Eintrittpunkt des 
jeweiligen Bestimmungslandes in die Frankiermaschine beim Initialisieren 
eingespielt werden mussen: 

- Datum der Batterie des Sicherheitsmoduls, 

- Telefonnummer des Datenzentrums, 

- Portoabrufnummer PAN, 

- vorbestimmte INIT-Werte und 

- extra Daten sowie 

- ggf. Schlussel mindestens fur die Fernwertvorgabe. 

In einem - nicht gezeigten - nichtfluchtigen Schreib/Lesespeicher extern 
vom Sicherheitsmodul konnen die extra Daten sowie eine Vielzahl an 
Telefonnummern gespeichert werden. Die Telefonnummer des Telporto- 
datenzentrums kann sich bei einer Voice-Vorgabe unterscheiden von der- 
jenigen bei einer Modem-Vorgabe und ist landerspezifisch verschieden. 
Die ubrigen INIT-Daten werden in den internen nichtfluchtigen Schreib/ 
Lesespeicher des Sicherheitsmoduls geladen. 

Wahrend Daten mit geringer Stellenanzahl, wie zum Beispiel die Telefon- 
nummer des Teleportodatenzentrums, die Portoabrufnummer PAN und 
das Datum der Batterie des postalischen Sicherheitsmoduls per Tastatur 
eingegeben werden konnen, ist es vorteilhaft, wenn eine Kommunikations- 
verbindung per Modem zu einer Datenzentrale hergestellt oder ein 
Service-Computer angeschlossen wird, welche dazu ausgestattet sind, die 
erforderlichen Schlussel und ggf. die extra Daten zu laden. 

Moderne Frankiermaschinen enthalten ein Sicherheitsmodul. Letzteres 
wird auch als postalisches Sicherheitsgerat PSD oder sicheres Abrech- 
nungsgerat SAD bezeichnet. Von einem postalischen Sicherheitsgerat 
PSD (Postage Secure Device) wird gesprochen, wenn es ein kryptogra- 
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5 phisches Schlusselpaar fur ein Public Key-Verfahren erzeugen kann In 
der nicht vorveroffentlichten deutschen Anmeldung Nummer 100 20 904 1 
w.rd e.n Verfahren zur sicheren Distribution von Sicherheitsmodulen 
vorgeschlagen, wobei ein PSD die Schlussel erzeugt. 

) lm Unterschied dazu wird bei einem Secret Key Verfahren nur ein ge- 
meinsamer geheimer Schlussel verwendet. Von einem sicheren Abrech- 
nungsgerat SAD wird nachfolgend gesprochen, wenn es einen gemein- 
samen kryptographischen Schlussel laden kann. Der Computer der 
Datenzentrale am Empfangs- und Initialisierungsort ist ebenso wie die 
Frankiermaschine mit einem Modem ausgestattet und die Kommunika- 
tionsverbmdungsleitung wird als sicher angesehen 
" Beim Initialisieren wird in ein sicheres Abrechnungsgerat SAD mindestens 
e.n geme.nsamer geheimer Schlussel DES-Key geladen, mindestens fur 
d.e Fernwertvorgabe von einem Guthaben, wo ein Secret Key Verfahren 
verwendet wird. Weiterhin kann ein gemeinsamer geheimer Schlussel 
MAC-Key eines Postbeforderers geladen werden, welcher fur die Erzeu- 
gung e.nes Sicherheitsabdruckes und dessen Qberprufung erforderlich ist 
Das Laden und das standige Vorhandensein eines Initialisierungspro- 
grammes im Programmspeicher der Frankiermaschine erfordert besonde- 
re S.cherheitsmassnahmen im SAD (Secure Accounting Device). So wird 
d.e postalisch relevante SAD-Seriennummer bei der Herstellung schon 
vonmtialisiert und kann spater nicht mehr verandert werden, ausser ein 
neues SAD wird eingebaut. Eine Seriennummer der Frankiermaschine ist 
ungleich der SAD-Seriennummer und postalisch nicht weiter relevant 
Die Frankiermaschine wird in eine Box verpackt, auf der ein Label mit der 
SAD-Seriennummer klebt. Die Box wird verschickt in ein vom Herstel- 
lungsort entferntes Bestimmungsland. Am Empfangsort (Single Point of 
Entry) des Bestimmungslandes erfolgt nach dem Auspacken ein Initiali- 
s.eren. Wenn Parameter der Frankiermaschine im Initialisierungs-Modus 
geandert werden mussen, dann wird aufgezeichnet, von wem diese An- 
derungen vorgenommen werden. Jede Dealer Card hat eine einzigartige 
Berecht.gungs-Nummerzum Freischalten des Initialisierungs-Modus. 

Beim Initialisieren werden die folgenden Schritte ausgefuhrf 
a) Uberfilhren in einen Initialisierungsmodus, beispielsweise im Ergebnis 
der Betatigung eines Knopfes des Userinterfaces, und Herstellen 
e.ner Verbindung zu einer Datenquelle (4) via Modem- bzw. mittels 
einer Laptop- oder PC-Schnittstelle, 
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5 b) Autorisierung der Initialisierung mittels eines Autorisierungsmittels (5), 
z.B. mittels FP-Card, die in den Chipkartenleser eingesteckt ist, 

c) Eingabe mindestens des Datums BAT_DATE_SAD, z.B. = 07 00, der 
Batterie des Sicherheitsmoduls (11) SAD, einer Telefonnummer des 
Teleportodatenzentrum TDC des Bestimmungslandes und einer 

10 Portoabrufnummer PAN z.B. = 101 04711, 

d) Senden der Seriennummer SAD-SN des Sicherheitsmoduls (11) zum 
Teleportodatenzentrum TDC des Landes, wobei dort ein Vergleich der 
gesendeten Seriennummer SAD-SN mit einer gespeicherten Serien- 
nummer stattfindet und eine Mitteilung generiert wird, 

15 e) Empfangen einer vom Teleportodatenzentrum TDC gesendeten 
Mitteilung durch die Frankiermaschine und Laden mindestens von 
Schlusseln DES-Key's fur ein Guthabennachladen in das 
Sicherheitsmoduls (11) SAD, wobei letztere einschliessen: Key(0), 
Key(1), Kvar, 

20 f) Beenden der Initialisierung und Aufhebung der Autorisierung durch 
Entfernen der FP-Card. 



Die Dateneingabe kann via Tastatur oder via Chipkarte erfolgen. Bei 
Postmaschinen, die nach einem Tintenstrahldruckverfahren drucken, ist 

25 vorgesehen, dass eine Dateneingabe von Extra Daten erfolgt, welche die 
Ink-Jet-Cartridge-Daten einschliessen. Die Ink-Jet-Cartridge-Daten enthal- 
ten eine Hersteller-ldentifikationsnummer, die fur alle Tintenkartuschen 
des Herstellers gleich ist, welche in der Postmaschine verwendet werden 
durfen. Alternativ ist vorgesehen, dass die vom Teleportodatenzentrum 

30 TDC gesendete Mitteilung die Ink-Jet-Cartridge-Daten aufweisen. Die 
extra Daten werden in dem - nicht gezeigten - nichtfluchtigen 
Schreib/Lesespeicher extern vom Sicherheitsmodul gespeichert. 
Ausserdem ist fur Frankiermaschinen vorgesehen, dass die vom Tele- 
portodatenzentrum TDC gesendete Mitteilung einen Schlussel MAC-Key 

35 fur einen Sicherheitsabdruck enthalt, der durch die Frankiermaschine 
empfangen und in einen nichtfluchtigen Speicher des Sicherheitsmoduls 
11 geladen wird. 



Nach dem vorgenannten Initialisierungs-Prozess ist die Initalisierung des 
40 SAD abgeschlossen und die Frankiermaschine wandert zum Verkaufer ins 
Verkaufsregal. Beim Verkaufer werden bei einem Kundenauftrag die 
Kundendaten & der Wunsch erfasst und zu einem separaten Klichee- 
Department ubermittelt. Im separaten Klichee-Department werden : 



* 
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5 Zusammenfassunq 

Die Postmaschine und ein Verfahren zu deren Initialisierung geht von 
einem nicht entfernbarem Programmspeicher (10) aus, der ein Initiali- 
sierungsprogramm enthalt. Ein entfernbares Autorisierungsmittel (5) wird 

10 betriebsma&ig mit der Postmaschine (1, 2) verbunden und ist abfragbar 
ausgebildet. Die Abfrage wird vor und wahrend der Initialisierung der 
Postmaschine (1, 2) mit vorbestimmten INIT-Daten vorgenommen. Ein mit 
dem Programmspeicher (10) verbundenes Sicherheitsmodul (1 1 ) dient zur 
Uberprufung der Autorisierung und kann die Initialisierung bei fehlender 

15 Autorisierung verhindern. Die Initialisierung der Postmaschine erfolgt am 
Empfangsort im Bestimmungsland durch ein Uberfuhren in einen 
Initialisierungsmodus, eine Autorisierung der Initialisierung mittels des 
Autorisierungsmittels (5), eine Eingabe von Initialisierungsdaten und ein 
Beenden der Initialisierung und Aufhebung der Autorisierung. 



20 



Fig.1 




Fig. 1 
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5 Patentanspruche: 

1. Postmaschine, dadurch gekennzeichnet, dass ein 
Sicherheitsmodul (11), ein entfernbares Autorisierungsmittel (5) und ein 
nicht entfernbarer Programmspeicher (10) vorgesehen sind, dass der 

10 Programmspeicher (10) ein Initialisierungsprogramm enthalt und mit dem 
Sicherheitsmodul (11) verbunden ist, dass das entfernbare Autorisierungs- 
mittel (5) betriebsmaSig mit der Postmaschine (1, 2) verbindbar und 
abfragbar ausgebildet ist und daS das Sicherheitsmodul (11) dazu 
programmiert ist, eine Uberprufung der Autorisierung durchzufuhren und 

15 die Initialisierung bei fehlender Autorisierung zu verhindern. 

2. Postmaschine, nach Anspruch 1, dadurch gekennzeichnet, 
dass das Autorisierungsmittel entweder an die Postmaschine direkt oder 

20 indirekt uber eine Datenquelle (4) angeschlossen ist und dass die 
Datenquelle (4) ein Personalcomputer, ein Laptop oder eine entfernte 
Datenzentrale ist. 

25 3. Postmaschine, nach Anspruch 2, dadurch gekennzeichnet, 
dass die Postmaschine eine Frankiermaschine ist, dessen Meter (1) ein 
Userinterface (88, 89) mindestens fur eine Dateneingabe von 
vorbestimmten INIT-Werten und ein postalisches Sicherheitsgerat (PSD) 
als Uberprufungsmittel fur die Autorisation der Dateneingabe aufweist. 

30 

4. Postmaschine, nach Anspruch 2, dadurch gekennzeichnet, 
dass eine erste Schnittstelle (92a) der Base (2) der Postmaschine zum 
Anstecken der Datenquelle (4) ausgebildet ist, welche Initialisierungsdaten 
35 fur die Postmaschine (1, 2) enthalt und dass eine zweite Schnittstelle 
(98b) der Base (2) der Postmaschine zum Anstecken des Autorisierungs- 
mittels (5) ausgebildet ist. 
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5 5. Postmaschine, nach Anspruch 4, dadurch gekennzeichnet, 
dass das Autorisierungsmittel (5) ein Dongle ist. 

6. Postmaschine, nach Anspruch 4, dadurch gekennzeichnet, 
10 dass die Datenquelle (4) Initialisierungsdaten fur die Postmaschine (1, 2) 

enthalt und an eine erste Schnittstelle (92a) der Base (2) der 
Postmaschine ansteckbar ausgebildet ist und dass das Autori- 
sierungsmittel (5) eine Chipkarte (49) ist und dass ein Chipkartenleser 
(70) in die Base (2) integriert angeordnet ist, der uber eine weitere innere 
15 Schnittstelle mit dem Meter (1 ) operativ gekoppelt ist. 

7. Postmaschine, nach den Anspruchen 4 und 6, dadurch gekenn- 
zeichnet, dass die vorgenannten ersten, zweiten und weiteren 

20 Schnittstellen der Postmaschine serielle Schnittstellen sind. 

8. Postmaschine, nach Anspruch 2, dadurch gekennzeichnet, 
dass eine erste Schnittstelle (92a) der Base (2) der Postmaschine zum 

25 Anstecken der Datenquelle (4) ausgebildet ist, dass das Autorisierungs- 
mittel (5) uber eine Parallelschnittstelle an die Datenquelle (4) angeschlos- 
sen ist, dass die Datenquelle (4) ein Personalcomputer Oder ein Laptop ist 
und uber eine serielle Schnittstelle (92a) der Postmaschine angekoppelt 
ist sowie dass ein Chipkartenleser (70) in das Meter (1) integriert 

30 angeordnet ist und uber eine Schnittstelle des Meter (1) operativ mit 
letzterem verbunden ist. 

9. Postmaschine, nach Anspruch 1, dadurch gekennzeichnet, 
35 dass die Postmaschine eine Frankiermaschine ist, dass ein Chipkarten- 
leser (70) in das Meter (1) der Frankiermaschine integriert und uber eine 
Schnittstelle an einen parallelen Bus des Meter (1) angekoppelt ist sowie 
dass das Autorisierungsmittel (5) eine Chipkarte (49) ist. 
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10. Postmaschine, nach Anspruch 1, dadurch gekennzelchnet, 
dass die Postmaschine eine Waage ist, dass ein Chipkartenleser (70) in 
die Waage integriert und uber eine Schnittstelle der Waage angekoppelt 

10 ist sowie dass das Autorisierungsmittel (5) eine Chipkarte (49) ist. 

11. Postmaschine, nach den Anspruchen 1 und 2, dadurch gekenn- 
z e i c h n e t, dass die Postmaschine ein Modem und eine Modem- 

15 Schnittstelle (98c) hat, uber welche die Initialisierungsdaten bzw. -Werte 
geladen werden konnen, dass das Autorisierungsmittel (5) eine steckbare 
Chipkarte (49) ist, zur Autorisierung mindestens desjenigen Teils der INIT- 
Daten bzw. -Werte, welche von einer Datenquelle (4) uber eine Modem- 
Schnittstelle (98c) in die Postmaschine geladen werden. 

20 

12. Postmaschine, nach den Anspruchen 1 und 2, dadurch gekenn- 
z e i c h n e t, dass die Postmaschine eine Frankiermaschine ist, die 
mindestens einen Programmspeicher (10) mit einem Initialisierungspro- 

25 gramm und ein postalisches Sicherheitsmodul (11) aufweist, zur 
Uberprufung der Autorisiertheit vor und wahrend der Initialisierung, wobei 
das postalische Sicherheitsmodul (1 1 ) ausgebildet ist, Initialisierungsdaten 
zu laden. 

30 

13. Postmaschine, nach Anspruch 12, dadurch gekennzeichnet, 
dass die Uberprufung der Autorisiertheit vor und wahrend der Initiali- 
sierung anhand einer einzigartigen Berechtigungsnummer vorgenommen 
wird, welche via Dongle (5) oder Chipkarte (49) eingegeben wird und dass 

35 die Autorisiertheit gegeben ist, wenn die eingegebene einzigartigen 
Berechtigungsnummer mit einer im postalischen Sicherheitsgerat (11) 
gespeicherten Nummer ein vorbestimmtes Verhaltnis hat. 
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5 14. Postmaschine, nach Anspruch 1 , dadurch gekennzeichnet, 
dass das zugehorige Initialisierungsprogramm mindestens zu einem Teil 
in einem Programmspeicher (EPROM) gespeichert wird, der Bestandteil 
des Sicherheitmoduls 1 1 ist, und dass ein anderer Teil des Initialisierungs- 
programms, insbesondere fur Initialisierungsdaten, welche extern vom 
10. Sicherheitsmodul 11 nichtfluchtig gespeichert werden, im separaten 
Programmspeicher 10 (EPROM) gespeichert ist, welcher mit dem 
Sicherheitmodul 1 1 in Verbindung steht. 

15. Verfahren zur Initialisierung einer Postmaschine am Empfangsort im 
Bestimmungsland, gekennzeichnet durch, 

1. Uberfuhren in einen Initialisierungsmodus, 

2. Autorisierung der Initialisierung mittels eines Autorisierungsmittels (5), 

3. Eingabe von Initialisierungsdaten, 

4. Beenden der Initialisierung und Aufhebung der Autorisierung. 




16. Verfahren, nach Anspruch 15, gekennzeichnet durch, 

a) Uberfuhren in einen Initialisierungsmodus und Herstellen einer Verbin- 
25 dung zu einer Datenquelle (4) via Modem- bzw. mittels einer Laptop- 

oder PC-Schnittstelle. 

b) Autorisierung der Initialisierung mittels eines Autorisierungsmittels (5), 

c) Eingabe mindestens des Batteriedatums BAT_DATE_SAD der Batterie 
des Sicherheitsmoduls (11), einer Telefonnummer des Teleporto- 

> 30 datenzentrum TDC des Bestimmungslandes und einer Portoabruf- 

<y^(PL nummer PAN, 

7 d) Senden der Seriennummer SAD-SN des Sicherheitsmoduls (11) zum 

Teleportodatenzentrum TDC des Landes, wobei dort ein Vergleich der 
gesendeten Seriennummer SAD-SN mit einer gespeicherten Serien- 
35 nummer stattfindet und eine Mitteilung generiert wird, 

e) Empfangen einer vom Teleportodatenzentrum TDC gesendeten 
Mitteilung durch die Frankiermaschine und Laden mindestens von 
Schlusseln DES-Key's fur ein Guthabennachladen in das 
Sicherheitsmoduls (1 1 ) SAD und 
40 f) Beenden der Initialisierung und Aufhebung der Autorisierung. 
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5 17. Verfahren, nach Anspruch 16, dadurch gekennzeichnet, 
dass das Uberfuhren in einen Initialisierungsmodus im Ergebnis einer 
Betatigung eines Knopfes des Userinterface und dass das Herstellen 
einer Verbindung zu einer Datenquelle (4) via Modem- bzw. mittels einer 
Laptop- oder PC-Schnittstelle erfolgt. 

10 

18. Verfahren, nach Anspruch 16, dadurch gekennzeichnet, 
dass die vom Teleportodatenzentrum TDC gesendete Mitteilung einen 
Schlussel MAC-Key fur einen Sicherheitsabdruck enthalt, der durch die 
Frankiermaschine empfangen und in das Sicherheitsmoduls (11) SAD 

15 geladen wird. 

19. Verfahren, nach Anspruch 16, dadurch gekennzeichnet, 
dass die Schlussel DES-Key's fur ein Guthabennachladen die Teil- 
schlussel Key(0), Key(1), Kvar einschliessen und in das Sicherheits- 

20 moduls (1 1 ) SAD geladen werden. 

20. Verfahren, nach Anspruch 16, dadurch gekennzeichnet, 
dass die vom Teleportodatenzentrum TDC gesendete Mitteilung extra 
Daten enthalt, welche die Ink-Jet-Cartridge-Daten einschliessen und in 

25 einem nichtfluchtigen Speicher extern vom Sicherheitsmoduls (11) 
gespeichert werden. 

21. Verfahren, nach Anspruch 15, dadurch gekennzeichnet, 
30 dass die Eingabe von Initialisierungsdaten mittels Chipkarte (49) erfolgt. 

22. Verfahren, nach Anspruch 15, dadurch gekennzeichnet, 
dass eine Dateneingabe von extra Daten erfolgt, welche die Ink-Jet- 
Cartridge-Daten einschliessen und in einem nichtfluchtigen Speicher 

35 extern vom Sicherheitsmoduls (1 1 ) gespeichert werden. 

23. Verfahren, nach Anspruch 15, dadurch gekennzeichnet, 
dass vor und wahrend der Initialisierung der Postmaschine (1, 2) mit 
vorbestimmten INIT-Daten die Abfrage des Autorisierungsmittels (5, 49) 

40 vorgenommen wird. 
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